每周蓝军技术推送(2023.3.18-3.24)
2023-3-24 18:1:25 Author: M01N Team(查看原文) 阅读量:30 收藏

内网渗透

Kerberos票据时间和校验和对安全的影响

https://www.trustedsec.com/blog/red-vs-blue-kerberos-ticket-times-checksums-and-you/

终端对抗

在用户态绕过PPL保护

https://blog.scrt.ch/2023/03/17/bypassing-ppl-in-userland-again/

PPLmedic:使用Userland漏洞利用链转储任何PPL的内存

https://github.com/itm4n/PPLmedic

VBA:不利用NtQueryInformationProcess或GetProcAddress的在运行时解析导出函数

https://adepts.of0x.cc/vba-exports-runtime/

使用RtlProcessFlsData API进行反调试

https://debugactiveprocess.medium.com/rtlprocessflsdata-as-anti-debugging-technique-c531174c6dc8

ekko-rs:使用Rust实现的睡眠混淆

https://github.com/memN0ps/ekko-rs

巧用Windows事件日志“隐藏”载荷

https://mp.weixin.qq.com/s/ggB_XarThtTA_tI44k054w

Tokenizer:用于提升进程权限的内核模式驱动程序

https://github.com/ZeroMemoryEx/Tokenizer

Black-Angel-Rootkit:Windows 11/10 x64内核模式rootkit,可以通过kdmapper加载来绕过DSE

https://github.com/XaFF-XaFF/Black-Angel-Rootkit

Elevate-System-Trusted-BOF:通过SetThreadToken API提权到SYSTEM并获得TrustedInstaller组权限

https://github.com/Mr-Un1k0d3r/Elevate-System-Trusted-BOF

Windows10 离线管理员添加

https://twitter.com/0gtweet/status/1633583947379556353

https://github.com/gtworek/PSBits/tree/master/OfflineSAM/OfflineAddAdmin2

漏洞相关

CVE-2023-28668、CVE-2023-28670等:多个Jenkins插件出现漏洞

https://seclists.org/oss-sec/2023/q1/184

CVE-2023-28115:影响流行的PHP库Snappy的RCE漏洞

https://securityonline.info/cve-2023-28115-rce-vulnerability-affects-the-popular-php-library-snappy/

CVE-2023-27326:Parallels Desktop 虚拟机逃逸漏洞详情及EXP

https://blog.impalabs.com/2303_advisory_parallels-desktop_toolgate.html

https://github.com/Impalabs/CVE-2023-27326

CVE-2023-21800 Windows Installer 提权漏洞分析

https://blog.doyensec.com/2023/03/21/windows-installer.html

云安全

 Google云平台渗透:威胁搜寻指南

https://www.mitiga.io/blog/google-cloud-platform-exfiltration-a-threat-hunting-guide

Docker 容器安全风险和防御综述

https://mp.weixin.qq.com/s/OqmkjW9NKaDLBgvMq-NdiA

其他

用于恶意软件行为建模的系统日志转换器模型神经网络工程技术

https://towardsdatascience.com/transformer-neural-network-engineering-techniques-on-system-logs-for-malware-behavior-modeling-c79f83f1ae69

Hayabusa:基于Sigma规则的Windows事件威胁狩猎与取证时间线分析工具

https://blog.ecapuano.com/p/find-threats-in-event-logs-with-hayabusa

https://github.com/Yamato-Security/hayabusa

AppGPT:使用ChatGPT、GitHub和Streamlit从自然语言提示生成带有用户界面的功能性网络安全工具

https://talesfromdecrypt.com/appgpt-b237c66b09bf

使用序列分析自动检测API滥用

https://blog.cloudflare.com/api-sequence-analytics/

M01N Team公众号

聚焦高级攻防对抗热点技术

绿盟科技蓝军技术研究战队

官方攻防交流群

网络安全一手资讯

攻防技术答疑解惑

扫码加好友即可拉群

往期推荐

每周蓝军技术推送(2023.3.11-3.17)

每周蓝军技术推送(2023.3.4-3.10)

每周蓝军技术推送(2023.2.25-3.3)


文章来源: http://mp.weixin.qq.com/s?__biz=MzkyMTI0NjA3OA==&mid=2247491096&idx=1&sn=fe342573424e5123c3c7972164c7ffdf&chksm=c187de09f6f0571fe5b1ea9eedfab9db4cf6f099b52e12c80dfe660a0b263b11cbf11e301589#rd
如有侵权请联系:admin#unsafe.sh